Los ataques a ICS tienen distintas motivaciones, tales como ganancias financieras, razones políticas objetivos militares entre otras. Es conocido el ataque a las instalaciones del puerto de Amberes en Bélgica. Este ataque que fue exitoso, le permitió al sindicato que estaba en conflicto, hacerse de información confidencial, de sistemas de seguridad, ubicaciones de contenedores, con lo cual lograron cambiar la condición de negociación y sustraer contenedores considerados estratégicos.
Los ataques a ICS han sido patrocinados por estados, empresas competidoras inclusive por hacktivistas.
Los efectos últimos de estas acciones pueden ser, desde inutilizar una fuente productiva a implicar riesgo para la vida de empleados o ciudadanos en cualquier parte del mundo.
EstrategiaRecomendacionesSegmentación de la redEl propósito de la segmentación de red es dividir el sistema en zonas de seguridad distintas e implementar capas de protección que aislarán partes críticas del sistema utilizando un dispositivo de aplicación de políticas.Acceso remotoFirewalls, redes privadas virtuales (VPN), callback (para acceso telefónico), autenticación de múltiples factores, control de acceso de usuario y detección de intrusos proporcionan acceso remoto «seguro» a las redes de ordenadores. Los ICS se usan a menudo en lugares remotos donde la conectividad es limitada. Por esta razón, ICS a menudo utilizan conexiones de acceso telefónico, que debe ser asegurado.Comunicaciones inalámbricasEl acceso inalámbrico a la red ICS introduce riesgos similares a los riesgos asociados con el acceso remoto, con algunos vectores de amenazas adicionales (por ejemplo, personas no autorizadas que acceden a la red inalámbrica desde fuera del perímetro de seguridad física de la planta). Además, el medio inalámbrico es extremadamente susceptible a ataques de denegación de servicio (DoS).Administración de parchesLa administración de parches es un componente importante de cualquier estrategia que involucre la seguridad general del sistema de control. En muchos casos, la única mitigación efectiva para una vulnerabilidad recién descubierta es instalar un parche o actualización de software liberado por el fabricante.Políticas de acceso y controlEl control de acceso cubre todos los aspectos del control del acceso a una red, dispositivo o servicio, incluido el acceso físico y electrónico, desde la definición de las funciones y responsabilidades de seguridad hasta el establecimiento de políticas y procedimientos de autenticación.Endurecimiento del sistemaEndurecer los componentes de un sistema significa bloquear la funcionalidad de varios componentes dentro del sistema para evitar accesos no autorizados o cambios, eliminar funciones o funciones innecesarias y corregir cualquier vulnerabilidad conocida.Detección de intrusionesTodos los sistemas requieren algún método para supervisar la actividad del sistema e identificar eventos potencialmente malintencionados en la red. Sin esto, los problemas menores de seguridad permanecerán sin ser detectados hasta que se conviertan en incidentes de seguridad críticos.Seguridad Física y AmbientalEl acceso físico a los activos críticos de ICS, mediante el uso de equipo aprobado o autorizado, debe limitarse a aquellos que necesitan acceso para cumplir con sus obligaciones. Además del control de acceso físico, el equipo crítico, como el ICS, debe estar adecuadamente protegido de los peligros ambientales.
Protección y detección de malwareEn general, los beneficios de ejecutar software antivirus en los hosts ICS superan con creces el riesgo de que el software antivirus pueda tener un impacto negativo en el sistema.ConcienciaLa capacitación en seguridad de ICS y la concientización del personal es una herramienta esencial para reducir los riesgos de seguridad cibernética. Es fundamental que cualquier programa de seguridad ICS incluya un programa de capacitación y concienciación para que los empleados entiendan cuál es su papel y qué se espera de ellos. Un personal bien informado y vigilante es una de las líneas de defensa más importantes para asegurar un sistema.Evaluación periódica y auditoríasNumerosos factores afectan la seguridad de un sistema a lo largo de su ciclo de vida. Por lo tanto, las pruebas periódicas y la verificación del sistema es importante para lograr una seguridad óptima.Control de cambios y gestión de configuracionesLas políticas y procedimientos de administración de cambios se usan para controlar las modificaciones en hardware, firmware, software y documentación. Se establecen para garantizar que el ICS está protegido contra modificaciones incorrectas antes, durante y después de la puesta en servicio.Planificación y respuesta ante incidentesUn plan integral de respuesta a incidentes cibernéticos debe incluir tanto medidas proactivas como medidas reactivas. Las medidas proactivas son aquellas que pueden ayudar a prevenir incidentes o mejor permitir que la organización responda cuando se produce, mientras que las medidas reactivas pueden ayudar a detectar y manejar un incidente una vez que ocurre.